Pular para o conteúdo principal

O HashiCorp Vault é um sistema de gerenciamento de segredos centralizado e de código aberto. Ele fornece uma maneira segura e confiável de armazenar e distribuir segredos como chaves API , tokens de acesso e senhas.

Implantação de um aplicativo de mercado

O Linode Marketplace permite que você implante facilmente um software em uma instância de computação usando o Gerenciador de Nuvem. Veja Começar com os aplicativos do Marketplace para obter as etapas completas.

  1. Entre no Gerenciador de Nuvem e selecione o link Marketplace no menu de navegação à esquerda. Isto exibe a página Criar Linode com a guia Marketplace pré-selecionada.
  2. Na seção Selecionar aplicativo, selecione o aplicativo que você gostaria de implantar.
  3. Preencha o formulário seguindo os passos e conselhos dentro do guia Criando uma Instância de Cálculo. Dependendo do aplicativo do Marketplace selecionado, pode haver opções adicionais de configuração disponíveis. Consulte a seção Opções de configuração abaixo para obter distribuições compatíveis, planos recomendados e quaisquer opções de configuração adicionais disponíveis para este aplicativo do Marketplace.
  4. Clique no botão Criar Linode. Uma vez que a Instância de Computação tenha sido provisionada e totalmente ligada, aguarde que a instalação do software esteja concluída. Se a instância for desligada ou reiniciada antes deste tempo, a instalação do software provavelmente falhará.

Para verificar se o aplicativo foi totalmente instalado, veja Começar com o Marketplace Apps > Verificar a instalação. Uma vez instalado, siga as instruções dentro da seção Getting Started After Deployment para acessar o aplicativo e começar a usá-lo.

Tempo estimado de implantação: O cofre deve ser totalmente instalado dentro de 5-10 minutos após a conclusão do provisionamento da Instância de Cálculo.

Opções de configuração

  • Distribuições com suporte: Debian 11, Ubuntu 22.04 LTS
  • Plano recomendado: Recomendamos uma CPU dedicada de 4GB ou uma instância de computação compartilhada para a instância Vault.

Usuário limitado (Opcional)

Você pode opcionalmente preencher os seguintes campos para criar automaticamente um usuário limitado para sua nova Instância de Computação. Isto é recomendado para a maioria das implementações como uma medida de segurança adicional. Esta conta será atribuída à sudo grupo, que fornece permissão elevada ao executar comandos com o sudo prefixo.

  • Usuário limitado do sudo: Digite seu nome de usuário preferido para o usuário limitado.
  • Senha para o usuário limitado: Digite uma senha forte para o novo usuário.
  • Chave pública SSH para o usuário limitado: Se você deseja entrar como usuário limitado através de autenticação de chave pública (sem digitar uma senha), digite sua chave pública aqui. Consulte Criando um par de chaves SSH e Configurando autenticação de chave pública em um servidor para obter instruções sobre como gerar um par de chaves.
  • Desabilitar acesso root sobre SSH: Para bloquear o usuário root de fazer login sobre SSH, selecione Sim (recomendado). Você ainda pode mudar para o usuário root uma vez logado e você também pode logar como root através de Lish.

Começando após a implantação

Obtenção da chave Unseal

Os dados dentro da Caixa-forte são protegidos por uma série de chaves de criptografia. A primeira camada é uma chave de criptografia armazenada no chaveiro. O chaveiro é então criptografado usando a chave raiz. E por último, a chave de raiz é criptografada usando a chave sem selo. A chave de abertura é dividida em porções múltiplas, que podem então ser distribuídas a várias pessoas. Este processo garante a proteção dos dados e somente usuários autorizados podem obter acesso. Consulte a documentação de Selo/Desvinculação para saber mais sobre este processo de criptografia.

Siga as instruções abaixo para visualizar a chave de desvinculação e o símbolo de raiz.

  1. Faça login na sua Instância de computação via SSH ou Lish usando as credenciais de usuário raiz que você criou durante a implementação.
  2. Execute o seguinte comando para exibir todas as cinco porções da chave sem selo. Estas porções podem ser usadas em conjunto para descriptografar a chave de raiz e o cofre de abertura da fechadura.

    cat /root/.vault_tokens.txt

    Unseal Key 1: M8H0MQbg5Vgdf5IFEL/xOvyBC0bXwH+exN9wLgSwyq1y
    Unseal Key 2: oP7fCkpdJXrO/AegtuUtQAiiyK//fhPtfyfFzEnT5z8b
    Unseal Key 3: dSB00TzKHK9Nq5S+w2zWDzlokxMhYnUx6xNXXFuXHw9o
    Unseal Key 4: UJEqMsSKbtGM1SZNJjUmx0/V7Q4g5pI63V0aRIulHVm3
    Unseal Key 5: UMBRh+13zGwYgTIunTl6F0qJRoWW4JS6U5WzazwAhOoz
    Initial Root Token: hvs.z1f4cwvE9llTjBmkJO71xhF4

  3. Distribua as porções da chave de abertura para sua equipe conforme necessário, certificando-se de que sejam salvas em um local seguro e protegido. Além disso, salve a chave de abertura Ficha Raiz Inicial. Depois de terminar, você pode apagar este arquivo de texto.

    rm /root/.vault_tokens.txt

Acessando a Web Vault UI

  1. Abra seu navegador da web e navegue para http://[ip-address]:8200onde [ip-address] é o endereço IPv4 de sua Instância de Computação. Veja o Gerenciamento de endereços IP guia para informações sobre visualização de endereços IP.
  2. Para acessar a instância da Caixa-forte, três das chaves de abertura devem ser inseridas junto com o símbolo de raiz.


  3. Uma vez que o Cofre não seja selado, a interface web pode ser usada para estabelecer segredos, autenticação e políticas.



    Nota: A HashiCorp recomenda o uso de TLS mútuo (mTLS) com uma CA privada para assegurar as comunicações em cluster e a interface web. Consulte a seguinte documentação da HashiCorp para obter mais detalhes. https://www.vaultproject.io/docs/auth/cert https://www.vaultproject.io/docs/secrets/pki/setup
  4. Configurações adicionais são necessárias para utilizar a instância do Linode Marketplace Vault em um ambiente de produção. Recomendamos a revisão da documentação de Configuração, Motor Secreto e Autenticação antes de prosseguir.

O aplicativo HashiCorp Vault Marketplace foi construído pela Linode. Para obter suporte sobre a implantação do aplicativo, entre em contato com a Linode Support. Para suporte em relação à ferramenta ou software em si, navegue no Fórum da Comunidade de Cofre.